0,0
рейтинг
15 февраля 2011 в 19:25

Разработка → «Атака на банк-клиент...». Взгляд со стороны работника банка из песочницы

Меня очень заинтересовала статья Атака на банк-клиент или Охота на миллион в связи с тем, что я явлюсь непосредственным участником процесса дистанционного банковского обслуживания (далее — ДБО) со стороны банка. Чуть позже появилась статья Кому я нужен?, поэтому мыслей на эту тему накопилось очень много и хочется поделиться со всеми (а еще я давно хотел зарегистрироваться, но подходящего момента не было). По возможности буду краток и не буду сыпать научными терминами.


Виды клиент-банков

Давайте для начала отделим мух от котлет.

Есть два основных направления дистанционного (да и не только) банковского обслуживания (далее — ДБО) — обслуживание физических лиц (интернет-банкинг (далее — ИБ)) и юридических лиц (системы типа Интернет клиент-банк (далее — ИКБ)). В статье Атака на банк-клиент или Охота на миллион разбирается вопрос обслуживания юридических лиц, а статья Кому я нужен?, написанная под влиянием первой и комментариев к ней, касается систем ДБО для физических лиц.

В чем отличие? В объемах производства и продукции! Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.

Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java. От них требуется совершение небольшого количества операций в секунду..., простите, сутки. Второе требование — не взорвать мозг клиенту и потенциальному покупателю каких-нибудь еще продуктов банка в будущем (ну кто же ему кредит даст с дырой в башке!? Отсюда — уже готовые формы оплаты различных услуг, незамысловатый и простой интерфейс, совершение операций без использования систем шифрования. Всё, что нужно клиенту — браузер с поддержкой SSL, Java Script и установленная на ПК Java RE. В качестве средств защиты могут быть использованы дополнительные факторы аутентификации, таких как мобильный телефон, ввод PIN-кода, одноразовые аналоги собственноручной подписи (коды АСП).

Программ типа «Клиент-банк», а в нашем случае Интернет Клиент-банк (далее — ИКБ) на рынке присутствует пара-тройка десятков, я думаю. Часть из них представляет собой ПО, устанавливаемое, на ПК клиента, часть — web-клиенты, причем за вторыми будущее, а первые отживают своё, так как использование и сопровождение их — дело ужасно неудобное и небыстрое (это я про установку ПО на месте, настройку и т.д. ). Если вы хотите в месяц подключать порядка 100-200 клиентов, а сотрудников у вас целых 1 человек (как в моём случае), то без web-клиента вам не обойтись.

Главное отличие систем ИКБ от ИБ — использование систем шифрования (обязательно сертифицированных ФСБ!). Это, например, платная CryptoPro или бесплатная и открытая IPRIV. С другими не сталкивался, врать не буду.
Второй нюанс — несколько видов платежных операций в различных валютах, обмен с банком файлами, сообщениями, взаимодействие с бухгалтерскими программами, возможность многоуровневой подписи документов и интерфейс — не для блондинок.

Азы банковского дела и хакерского мастерства, точнее воровства

Как видим, различия в системах ДБО — коренные, поэтому и способы несанкционированного доступа к счетам клиентов различны для каждой системы. Коротко и ясно они описаны в упоминаемых выше статьях, за что авторам большое спасибо.

Получить доступ к счёту — это пол дела. Получить деньги — вот цель злоумышленников. Давайте, не будем называть их хакерами и прочими «красивыми» словами. В русском языке для таких людей есть простые обозначения — вор и мошенник. Неприглядно, зато правда.

Итак, вор получил доступ к счету клиента. При краже данных физлиц он может пойти двумя путями — воспользоваться данными банковской карты для покупки в Интернет-магазинах (оплаты услуг) или перевести деньги на другую карту (или счет). При покупке в магазине средства со счета сразу не списываются. Они резервируются для последующей передачи получателю. В этом состоянии они могут болтаться до 30 дней, если оплата не произошла и средства не затребованы, они возвращаются из резерва в доступный остаток на счете (они всё это время были на счёте!). Поэтому здесь спасти может СМС-информирование, которым пренебрегают некоторые недальновидные товарищи. Первым делом необходимо позвонить в свой банк и заблокировать карту. Параллельно с первым делом необходимо писать заявление в банк о несогласии с транзакцией, в большинстве систем ИБ это можно сделать прямо на сайте. В случае, если в вашем банке работают понимающие, законопослушные и ответственные сотрудники (начиная с руководства!), транзакцию отменят и деньги вы вернете.

При переводе средств на другой счет (карту) тоже не всё плохо. Средства тоже уходят не мгновенно. Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут). Далее деньги уходят в расчетно-кассовый центр Центрального Банка РФ. Потом уже оттуда они придут в банк получателя и там, скорее всего, их уже ждут и стоят около банкомата, чтобы сразу же снять. Хозяин карты затем заявит, что карту потерял, а кто ей воспользовался — он не знает. В этом случай так же может спасти СМС-информирование. Не пожалейте 50 рублей в месяц и пусть вам приходят эти СМС-ки, которые однажды бросят вас в холодный пот, а потом позволят расслабиться вечером с холодным пивом.

Еще один способ вернуть средства — застраховать свою карту. Стоимость страховки, например, в моём банке от 300 до 500 рублей в год (сумма возврата — до 30 тысяч рублей). При совершении операций через Интернет и в обычных магазинах — это очень простой способ избавиться от головной боли. Помимо возврата средств на счет страховая компания оплатит до 2000 рублей на восстановление документов в случае их утери. Так что узнавайте в своих банках об этой услуге. Береженого сами знаете кто бережет.

На этом я заканчиваю рассказ про системы для физических лиц. Я специально не рассматриваю способы борьбы с воровством вашей информации, потому что об этом подробно написано на сайте каждого банка, сотрудники Сбербанка здесь об этом тоже подробно написали.

Прочитав некоторые комментарии о банковской системе в нашей стране хотелось бы внести ясность в некоторые вопросы. Наши банки, к счастью — это не швейцарские банки (которые уже тоже не те, что раньше). Банковская система в России прозрачна. Все всё знают и все всё видят, куда и откуда идут средства. По запросам органов внутренних дел им передается вся информация об операциях какого-либо лица или организации. Уничтожением платежек в РКЦ тоже никто не занимается. Уничтожать следы своей гадкой деятельности злоумышленникам не нужно, да они это и не делают и не сделают. Система воровства работает просто. Средства переводятся на карточные счета физических лиц, после снятия их карта либо «теряется», либо они снимаются и не возвращаются. Заставить кого-то вернуть деньги можно, если будет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная. Доказать вину очень сложно. Выводы делайте сами. Почему так — читайте чуть ниже при обсуждении вопроса касательно юридических лиц. В любом случае, если клиент банка попадает в странную ситуацию — ему приходят чужие деньги, то банк работать с таким клиентом больше не захочет. Второй раз злоумышленники на этот же счет деньги себе не переведут — перед лицом МВД они будут выглядеть уже не просто как «счастливчики». Поэтому воровство средств в системах ИБ для физлиц распространено не сильно — много мороки, а денег мало. На моей памяти был только один случай, когда у клиента система вдруг ни с того ни с сего запросила четырехзначный PIN-1 (при аутентификации в системах ИБ используется 16-значный PIN-2).

«Атака»

А теперь переходим к нашим баранам, точнее юридическим лицам. Как же происходит инфицирование компьютера? К большому разочарованию любителей детективного жанра никакие инсайдеры не нужны. Зачем с кем-то делиться, когда 90% пользователей, сидя за компьютером, ничем не отличаются от валенков, кроме того, что валенки не могут сами давить на клавиши? Ссылки на сторонних сайтах, письма, отсутствие нормального антивируса и фаервола, беспечность администраторов, которым лень настроить хотя бы прокси, а в некоторых случаях и отсутствие таких сотрудников в штате, делают свое грязное дело. Да и сложно представить, как человек, сидящий в Рязани, Саратове или Москве, имеет инсайдеров в нескольких десятках организаций по всей России.

Активные атаки на нашу систему и клиентов и систему начались в конце 2009 года. За это время в нашем регионе было зафиксировано не более 10 случаев заражения, к сожалению 3 из них закончились летальным исходом — средства безвозвратно утеряны, 2 случая — со счастливым концом — средства не списаны из-за ошибки в платежном поручении или не дошли до банка-получателя и вернулись из РКЦ ЦБ РФ. Остальные случаи заражения были идентифицированы на ранних стадиях и клиентам была преподнесена «радостная» новость о том, что на компьютере кака, а админ — лох.

«Куда смотрят в банке!? Разве они не видят, что мои деньги пи...!?» моё

Общая стоимость ущерба не превысила 900 тысяч рублей (100+300+2х500 (один платеж успели вернуть)).
Как видите, суммы не астрономические. Что такое сто тысяч рублей для организации, у которой таких платежей — 90%, а в банке проходят платежи и в 10 и 100 раз большие? Такие суммы банки даже не обязаны контролировать! Контроль начинается с сумм, превышающих 600 тысяч рублей.

Поэтому вероятность успеха прохождения таких платежей намного выше, чем упоминаемые в статье 1 и 6 миллионов. Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму. В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств. Это требования закона о борьбе с отмыванием и легализацией средств.

В нашем случае троян только отсылал «хозяину» секретный ключ и пароль на вход в систему. Злоумышленник уже сам регистрировался в системе, проверял остаток на счете и, если ему хватало, заполнял платежное поручение и отправлял средства на счет (не на свой!), а подставных лиц, которые, естественно его в глаза «не видели», но при получении столь приятного подарка, эти средства со счета снимали. Здесь многие могут мне сказать: «Ну вот же! Всё ясно! Вот они — негодяи и воры! Ловите их!» На что я вам, товарищи, спокойно отвечу: "Терморектальный криптоанализ в органах внутренних дел Российской Федерации не является законным способом добычи показаний, потому применяться не может, а в действиях граждан при операциях с их банковским счетом состава преступления не обнаружено."

То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана. Доказать его причастность расспросами и мольбами — вообще невозможно, он же не дурак :) Отследить злоумышленника по IP-адресам тоже не представляется возможным — они не из своего дома работают и используют для своих грязных дел взломанные компьютеры ничего не подозревающих пользователей, у которых разворачивается виртуальная машина, уже в ней осуществляется вход в систему и т.д. За два года никого никуда в суд не потащили, и не потащат. Поэтому мы переходим к третей части нашего повествования…

Спасение утопающих...

В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать, чтобы избежать подобных ситуаций… Как вы понимаете, 99,99% клиентов плевать хотели на ценные указания банков
А способы противодействия на самом деле просты и очень дешевы:
  1. Работайте с одного рабочего места. Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. :) Дорого? 100 тысяч дороже.
  2. Работайте с одного IP-адреса. Если настройки Клиент-банка позволяют, жёстко привяжите этот IP к системе, чтобы с других адресов зайти было не возможно. Любите путешествовать? Тогда переходите к следующему пункту.
  3. Обязательно приобретите электронный идентификатор Rutoken или eToken. Лучше приобрести Rutoken ЭЦП или eToken ГОСТ. Это персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, т.е. для каждой последующей операции формируется новая ЭЦП. С такого ключа информацию извлечь уже будет невозможно. Стоимость одного ключа составляет порядка 1 тысячи рублей.
  4. Антивирусы, файерволы, безопасность… Вообщем, класика жанра. Но при несоблюдении пунктов 1-3 она вам не поможет

Заключение

Хотелось бы, чтобы большинство клиентов перестали надеяться на «авось» и считать, что если деньги в банке, то с ними ничего не случится, а ежели что случится, банк всё вернет. По части ДБО банки полностью выполняют свою часть договора — предоставляют средства и способы клиенту быстро решать свои проблемы, заботятся о его безопасности, советуют, как себя вести в интернет-обществе. К сожалению, многие клиенты не знают, что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке. Наличие на жестком диске признаков инфицирования автоматически делает клиента виноватым (хотя так и есть на самом деле) и дальнейшая борьба за свои кровные в суде (если до него дойдет) не увенчается успехом. Да и стоит ли осуждать кого-то, если вы оставили дверь открытой настежь и ушли на работу?
Сергей Омельченко @serejik
карма
37,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (216)

  • +10
    Наконец-то! Хорошая статья, правильно показывающая что к чему.

    В принципе, для защиты достаточно, чтобы в организации использовался USB-токен (пункт 3 у автора) и его использование контролировалось.
    • +2
      Вы совершенно правы. Но, к сожалению, путь до пункта 3 у клиентов тернист и долог. Пока жаренный петух не клюнет… :)
      • 0
        Пункт 3 еще и не все банки поддерживают.
        • 0
          Это, на самом деле, вопрос к разработчикам ПО, которое уже покупают банки. В принципе токены уже давно на рынке и поддержка их много где есть. В интернет-банкинге для физлиц их, естественно, использовать не получится.
          • 0
            Мне в ВТБ при открытии щета безапелляционно вручили «карточку переменных кодов» для доступа к счету через веб-интерфейс www.telebank.ru/

            Сначала я бурчал «Как-же так я буду вводить каждый раз новый код, ногтем скоблить… да как вы можете заставлять меня заниматься такой фигней!»

            Но постепенно пришел к выводу что они правы.
            Использовать банковскую карту для «закинуть 100р. на телефон» — не самая лучшая идея. Для этого есть более легковесные платежные системы типа ЯД и вебмани.

            А ради серьезных операций можно и ногтем карточку поскоблить пару раз. У Яндекса вроде были электронные токены с переменными кодами, не знаю доступны-ли они сейчас.
      • 0
        да? а почему банкам на раздавать из бесплатно? barklays вот раздает.
        • 0
          Вряд ли он раздаёт бесплатно. Скорее всего, стоимость устройства явно или неявно входит в цену обслуживания.
      • +1
        Пункт 3 не панацея. Известны случаи, когда преступники использовали токен удалённо через специальный драйвер, который перенаправлял USB-порт на удалённый комп. От головотяпства, когда бухгалтерша втыкает токен и он у неё болтается в порту весь день, а то и неделю, защиты нет.
    • –2
      Я таки еще раз спрашиваю какие USB-токены у физ лиц?
      • +2
        речь была про организацию, про физиков никто не говорил :)
      • 0
        Если я не ошибаюсь, то в украинском Юниверсал-банке USB-токены есть и для физ. лиц.
      • 0
        Абсолют банк выдает USB токен (бесплатно) для доступа к интернет банку (управление счетом). А вот к Абсолют-онлайн (управление счетом карты) доступ просто по паролю.
    • +5
      Однажды Сисадмин спросил почтенного защитника Иня:
      – Учитель, почему вы не пользуетесь ЭЦП?
      – У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.

      © Н.Н.Федотов, 2009. Суждения об информационной безопасности мудреца и учителя Инь Фу Во.
    • +1
      В принципе, достаточно, чтобы контролировались любые носители ключевой информации, неважно, USB-токен или что угодно. В таком случае даже обычный ключевой файл на ключевой дискете будет надёжно защищён. Организовать грамотное использование таких носителей для серьёзной организации не проблема.
  • +1
    > Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут).

    Каждый платеж проверяется сотрудником? Они работают круглосуточно или если перевести средства после закрытия банка — то только утром осуществляется проверка?
    • +1
      Платеж не по своим счетам проверяется вручную на предмет ошибок, соответствия требованиям ЦБ и т.п.
      Контролируются, конечно, же они не круглосуточно, а в течение рабочего дня.
      В нашем банке эта процедура проводится каждый час.
      • +1
        В зарубежных банках встречал работу по профилям. Т.е. если ты не оправляешь сумму превышающую n-ий лимит или не делаешь определенное количество переводов в чаc/день — то можно автоматически подтвердить операцию проходя через два уровня защиты — секретный вопрос и смска с подтверждающим кодом.
        • +1
          при оплате каких-то услуг платежи не контролируются.
          при вводе обычного платежного поручения оно в любом случае попадает на проверку, что у нас, что там.
          • 0
            если вы даже этого не делаете то не удивительно что у вас деньги крадут. при оплате услуг платежи должны контролировать. должна быть система которая лочит карту если клиент внезапно оказался в другом городе и сразу покупает на кучу денег
            • 0
              оплата услуг — это платежи за мобильные, телефонию, платежные системы и т.д.

              а если клиент приехал в другой город и действительно покупает там? вы не читали хвалебных отзывов таких «попавших» клиентов, которые не могли расплатиться за рубежом? почитайте :)

              • 0
                по звонку карта разблокируется — у меня было так.
                • 0
                  очень удобная вещь в роуминге :)
                  • 0
                    необходимое зло и мировая практика. к тому же это редка — только когда эвристика покажет блокировать карту.
      • 0
        А есть ли в этой валидации что-то такое, что нельзя сделать без участия человека?
        • 0
          Не совсем понял вопрос. Проверка платежа операционным работником — это не валидация :) Это уже контроль отправленного в банк документа. :)
          • 0
            Как угодно. Зачем человек на контроле?
            • 0
              проверить правильность заполнения платежного поручения, потому что в противном случае от ЦБ РФ будет ата-та :)

              убедиться, что деньги не отмывают маджахеды
              • 0
                За минус спасибо, но из вашего ответа всё равно не понятно зачем именно в этой цепочке нужен человек проверяющий все межбанковские платежи. Больше похоже на несовершенство системы или бюрократию, поскольку если это anti money laundering, то проверять вручную весь поток нужно только если нет системы, способной это осуществлять. Вручную же есть смысл проверять только то, что не проходит через проверку.
                • +2
                  минус? я не ставил :)

                  вы заполнили ПП, в назначении платежа написали «покупка. без ндс», а это неправильно. надо писать кому, за что… как это проверять автоматически? вообще, для ответа на этот вопрос надо позвать сюда сотрудников ЦБ РФ, это они всё придумывают и банки лицензий лишают за нарушения :)
                  • 0
                    Это конкретный пример, который вполне мог бы попасть в группу подозрительных платежей и быть проверен вручную. Со стороны банковских систем можно было бы сделать форму для подобных платежей, с предопределенными полями, анализировать которые уже можно зная что в этих полях может быть…

                    Со стороны ЦБ РФ есть требование проверять все платежи вручную?
                    • +1
                      если бы вы знали, какие требования предъявляет ЦБ, вы бы спали плохо :)

                      а зачем вам автоматическая проверка? ну, не проверялись бы платежи, а тут же уходили. вам эти пол часа, которые теряются на проверке, так важны?
                      • +1
                        Тогда не будем о требованиях ЦБ РФ. Я хочу хорошо спать. :)

                        Что касается получаса, то это не единственная потеря:
                        — Платежи не обрабатываются вне рабочих часов банка, даже если с ними всё в полном порядке. Наверняка с большей частью платежей всё впорядке, поэтому проверка может быть основной преградой для их обработки (ну и, может, смена банковского дня ночью тоже, но это уже отдельная тема).
                        — Люди нагружены «пустой» работой, проверяя платежи, которые могла бы проверить система. Иначе они мы могли проверять только подозрительные платежи.
  • +1
    «ньюанс»…
    • 0
      спасибо, исправил :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Во всех статьях про это говорится. Хочется уже услышать настолько ли это безопасно? =)
      • +3
        Да. До той поры пока у одного сотрудника крупной компании перестал работать сотовый телефон. За это время злоумышленники сняли все деньги через интернет-банк. Как?
        Кто-то на работе узнал его логин-пароль в «клик Альфа банка», напарник злоумышленника сходил в офис МТС и получил новую симку взамен утерянной. Так как сим-карта была корпоративной — то это не вызвало никаких трудностей. За пару часов субботы все провернули.
        • 0
          сим-карта была корпоративной

          ССЗБ :) А вообще, это давно было? Альфа-банк вроде научился с этим бороться: habrahabr.ru/blogs/infosecurity/97925/
          • 0
            в мае 2010 года.
            вот после таких случаев и научились бороться
        • 0
          > Кто-то на работе узнал его логин-пароль
          А виноват банк, ага… :)
        • 0
          Ну человек сразу же спалился я так понимаю? Выяснить кто именно получил симку наверное не очень сложно.
      • 0
        Возникает вероятность не получить доступ к свои деньгам. Банально связи нет или телефон разрядился.
  • 0
    Назовите, пожалуйста, Интернет-банки, работающие на основе JavaRE? Большая часть онлайн-банкингов для физиков работает на голом web (html), безо всяких аппплетов. Да, бекенд запросто может работать и на джаве (вебсфера, томкат, джбосс, etc.), но это уже никакого отношения не имеет к наличию javare у клиента.
    • –1
      «Росбанк», «Альфа-банк» — один разработчик, без JavaRE не работает. Я и не писал, что его наличие обязательно и без него ничего не будет работать. :)
      • 0
        Альфа-банк? Не смешите меня, вы Альфа-клик в глаза видели? На базе апплетов работает альфовский ibank, который для юриков. Вопрос про физиков.
        • –1
          Я про Интернет-банк. У Росбанка этот же самый ibank работает только для физиков. Что такое Альфа-клик, я не знаю. Статья была не про это.
          • +3
            обслуживание физических лиц (интернет-банкинг (далее — ИБ))
            Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java.
            М?
            P.S.: Альфа-клик это как раз ИБ по вашей терминологии.
            • +1
              Ужас! Я ошибся! Побежал посыпать голову пеплом. :)
              • –7
                Хорошая идея, кстати. Выходить на трибуну и нести при этом несвязности — позор для уважающего себя мужика.
                • +7
                  Не ошибается только тот, кто ничего не делает. :)
                  Вы из всей статьи придрались к одному предложению. Так и запишем, что в целом вы согласны :)
                  • –6
                    Дальше не читал просто.
                    • +7
                      Ну, плюсик-то мне хоть поставили? :)
                      • –5
                        Какой плюсик?
    • 0
      Авангард — аплет используется для подписи документов с usb токеном
      • 0
        Для физических лиц?
        • +1
          Да
          • 0
            Занятно. Каких документов?
            • 0
              Внебанковские переводы (требует и одноразовый код и подпись в usb), типовые платежи на выбор пароль или подпись.
              • 0
                Оке. Хотя бы один нашелся.
      • 0
        В Авангарде используется не смарт-карта в форм-факторе USB-ключа, а кастомизированный flash-носитель.
        У меня на 256 мегов, а у вас?
        • 0
          Не проверял кастомизированый или нет, но вроде обычная флешка только с файлами подписи. Там 128 вроде у меня.
          • 0
            Файлы скопировать можно? Если да — то это профанация просто!
    • 0
      В Райффайзенбанке Java-апплет используется для подписи заявки на платёж.
  • +14
    Вот я сейчас вам по пунктам, как человек, имеющий дело с банковскими троянами почти каждый день.

    «Главное отличие систем ИКБ от ИБ» ну и так далее. Сертифицированы в ФСБ только криптоалгоритмы. И упоминавшаяся вами система, например, СОВЕРШЕННО не следит за тем, что за либы подгрузились. В итоге перехват GetWindowText и приехали.

    «За это время в нашем регионе было зафиксировано не более 10 случаев заражения» — это КАК?! Вы говорите явно не о заражении, а о попытках перевода денсредств, при том успешных и вам известных.

    «В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать» — ага, расчитывают на исправление багов в юзверях и не правят своих багов в ПО и архитектуре системы.

    Если все так хорошо и успешные кражи денег — единичные случаи, зачем же авторы троянов тратят тысячи баксов в месяц и заражают десятки тысяч машин? Странное несоответствие.

    «что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить. Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй. Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО: отсутсвие контроля перехватов, загруженных модулей, сохранение на диск файлов в виде, пригодном для использования неавторизованными лицами и т.д. и т.п.

    И да, я сам не пользуюсь интернет-банкинком. По вышеизложенным причинам.
    • +3
      Кто сказал, что системы шифрования следят? Я сказал, что на них построены ИКБ.

      10 случаев заражения всего: это те случаи, когда средства ушли, не ушли и просто инфицированные троянами ПК. Если в систему пытается зайти пользователь из разных городов России в течение одного дня, значит велика вероятность заражения. Кроме того, есть и другие способы узнать, заражен ли компьютер клиента. Я не знаю какие, а если бы и знал, то не сказал. :)

      Не нужно исправлять баги в пользователях, пользователю достаточно купить токен. Системы разрабатывают не банки, они их покупают. Совершенствование и разработка их идут постоянно, но вирусописатели тоже не стоят на месте. Не понимаю ваших претензий к банкам. Все случаи, о которых я писал, возникли по причине грубого нарушения пользователями стандартных правил компьютерной безопасности.

      Мне авторы троянов не сообщали, сколько они тратят в месяц. Поделитесь полезной информацией, если она у вас есть. :) Я специально выделил жирным, что мои случаи — это мой регион, а не вся Россия, я работаю только в одном банке, а не в десяти. Если подсчитать общее количество зараженных машин по стране, то их будет немало. Я не писал, что все хорошо и заражений нет.

      Ответственность — это когда в договоре написано, что пользователь несет ее за чистоту и девственность ПК. :) При соблюдении простых правил безопасности при работе с системами ДБО (токен + статический IP) вероятность кражи будет сведена к нулю. Часть описанных вами случаев безалаберности касаются как раз работы пользователя. Вы предлагаете банкам централизованно рулить файлами и антивирусами клиентов?

      Вы — молодец :)
      • +1
        «10 случаев заражения всего: это те случаи, когда средства ушли, не ушли и просто инфицированные троянами ПК» — согласно только нашим серверам, ежедневно выявляется БОЛЬШЕ заражений WinSpy, хотя троян этот не такой распространенный, как, например, Zeus. И он как раз для ДБО, да. Так что статистика у вас, как я уже сказал, явно по известным ВАМ случаям несанкционированного доступа.

        Претензии к банкам вполне конкретны: они используют то, что ненадежно. И не исправляют то, что имеют. Откуда они узнают, что у них не так? Информации в паблике более чем достаточно. Не умеют искать? Гнать таких в шею и к машинам близко не подпускать!

        Хороший троянский пакер в месяц стоит пару тысяч баксов. Создание трояна, абузоустойчивый хостинг, покупка услуг систем распространения троянов… Я бы не меньше, чем в 5 килобаксов в месяц ботнет оценил только по этим статьям.

        Токен — ключевое слово. Почему банки используют системы без токенов?
        И к тому же, токен аппаратно говорит, какую транзакцию он удостоверяет? Нет. А значит, троян сможет обратиться к токену и приплыли.
        • 0
          10 случаев заражения трояном, написанным специально под ИКБ нашего банка. теперь понятно? :)

          Я же вам говорю, что банки не пишут ПО. :) Используют то, что имеют. Вы считаете, заменить систему ИКБ — это как два пальца об асфальт? За нее же когда отдали миллионы. :)

          Ну, я вам там написал, что я — капля в море и не претендовал за всю Россию. :) Не спорю, денег все это стоит хороших.

          Простой токен хранит ключ и надежным средством считаться не может. Я описал конкретно две модели, которые сейчас проходят сертификацию в ФСБ и которые говорят, что они удостоверяют.
          Лично я бы принудительно клиентам выдавал токены. Но наверху думают по-другому, поэтому тут ничего не скажу. По крайней мере, наши безопастники ждут, пока вот эти токены пройдут сертификацию и, может быть, мы их начнем принудительно выдавать при подключении.
          • +1
            Если ваша система тут www.bitdefender.com/VIRUS-1000647-en--Backdoor.Lavandos.A.html упоминается, значит это сотни и тысячи инфицированных систем.

            Но отказ от замены ИКБ при наличии уязвимостей в ней, которые уже эксплуатируются — это как? :-)

            Как реализован токен? Если на вход подаются данные, он их подписывает, и данные становятся валидными — грош цена системе. Инжектимся в банк-клиент, перехватываем функцию отправки данных в токен и… Вуаля! Нужные злоумышленнику данные подписаны, а клиент и знать не знает. Пока нет контроля своих модулей и своего же адресного пространства можно считать, что у клиента вообще нет никакого «хорошего» банковского ПО, только трояны. И всунутый в машину токен, а также знание у злоумышленников о том, как токеном и вообще системой ДБО пользоваться.
            • 0
              Про токены уже тоже проходили, конечно это лучше чем логин/пароль, но не панацея. Всем банкам давно уже твердят, что не оставлятей токен воткнутый 24 постоянно в комп, сделал операцию вытащи.
              На форуме банкиров эти дела обсуждались когда нагнули много клиентов, которые хлопали ушами и оставляли машину включенной и всегда туда был воткнут этот самый токен. Там был проброс USB портов на удаленную машину.
              Вобще после шквала тех случаев многие обсуждали сделать загрузочный CD с банк-клиентом на linux к примеру, но насколько мне известно из банков только один (не помню названия) дошел до дела после разговоров и то помоему на не офицальном уровне.
              • 0
                Да хватит и пары минут, думаю.
                Загрузочный CD — хороший вариант, кстати. Еще можно в сторону специализированных железок смотреть, где весь софт жестко зашит. При массовом производстве, думаю, будет не сильно дорого. Зато можно аппаратную реализацию логирования и контроля целостности встроить.
                • 0
                  Да я согласен, но в поисках идеально варианта видимо люди забыли о таком правиле Worse is better. Вот кстати оригинальная ветка если интересно вдруг можно по диагонали прочитать.
              • 0
                Когда у вас 50 клиентов и вы подключаете 1-2 в месяц — локальное ПО — очень хороший вариант. Когда клиентов несколько тысяч и в месяц 100-200 подключений — это невозможно. Поясню:
                1. Вам надо изготовить дистрибутив. Он для каждого клиента уникальный — мы же нормально хотим всё сделать? :)
                2. Вам надо съездить и установить. Это не просто прискакал, воткнул диск, 2 минуты и все счастливы. Это от 15 минут до часа-двух, потому что у всех свои компов и пользователей свои уникальные отличия и что-то может просто не работать или мешать нормальной работе вашего ПО.
                3. Самое важное! Тётеньки! Кто знает — тот уже понял :) Кто не знает — объясняю: вы не можете приехать поставить и уехать. В таком случае вас забьют ногами при попытке к бегству. Вам надо тётеньке-бухгалтеру объяснить, как всё это работает, что и куда нажимать, почему так, почему не так… Это еще час-два.
                4. В случае проблем с локальным ПО вам периодически придется выезжать для лечения.
                А кроме всех этих дел вы должны успевать исполнять еще 4-5 ваших основных служебных обязанностей, разговаривать с пользователями по телефону (я трубку просто не ложу), успевать обедать (мы же не хотим умереть от истощения?)…
                Вот как-то так. :)
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    ну, не обязательно. элементы его можно встроить в ПО, по крайней мере, так было у нас до введения web-клиента.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        С КриптоПРО я в таком виде не сталкивался, врать не буду. Возможно, вы правы.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            да, загружаются библиотечки в виде АктивХ-компонентов браузера.
            • 0
              Нашей там нет, к счастью.

              Заменить ИКБ невозможно, если вы — крупный банк. Нужно пинать разработчиков, чтобы закрывали дыры и реализовывали дополнительные способы проверки клиента.

              Я не представляю, как можно вытянуть информацию с токена (Рутокен ЭЦП или еТокен ГОСТ), который генерирует внутри себя каждый раз новую ЭЦП для каждой последующей операции. Про обычные токены-хранилища вы совершенно правы.
              • +1
                Банковское ПО успешно использует токен. Трояну тоже никто особо не мешает это сделать.
                • 0
                  просто обычно крадут имя и пароль, а также файл секретного ключа, и уже со своего компьютера отправляют платежи
                  в случае с использование етокена, необходимо еще как то удаленно управлять компьютером, что сложнее
                  • 0
                    Проблем-то… Меняем номер счета и что там еще надо — это же достаточно будет?
                    • 0
                      не понял где вы что менять собрались?

                      чтобы отправить платежное поручение, необходимо ввести кучу информации, и чтобы в банке не заподозрили неладное, должно быть что-то похожее на реальность (просмотр предыдущих платежей клиента)

                      чтобы удаленно это сделать, и клиент не заметил что на его компьютере что=-то происходит, необходимо будет знать протоколы обмена информацией браузера и веб-сервера (имеюю ввиду не протокол http, а все post, get, cookies и т.п. необходимые для отправки платежного поручения)
                      • 0
                        В памяти банк-клиента. Или браузер общается с токеном?
                        • 0
                          с токеном общается activex или java или plugin
                          ну в общем это надо будет делать спецаилизированное решение для каждого конкретного случая

                          а украсть файл и пароли может любой зеус

                          я просто не слышал ни одного случая когда ломали етокены и кучу случаев когда уводили деньги где эцп хранилось на винте или флешках
    • 0
      Слушайте, вот по поводу этого: «Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО: отсутсвие контроля перехватов, загруженных модулей, сохранение на диск файлов в виде, пригодном для использования неавторизованными лицами и т.д. и т.п.» — я не согласен, это маразм какой-то, следить за сохранностью библиотек должна ОС пользователя, а не программа, а то банкам придется делать отдельную операционную систему, отдельный фаервол, встроенный антивирус (который будет определять остутствие перехватов модулей), свой собственный драйвер клавиатуры (чтобы вирусы нажатия клавиш не перехватили) и тд. Ну бред же.

      Другой вопрос, что на сегодня ОС, которые могут надежно изолировать данные процессов одного пользователя друг от друга, я не знаю (неудивительно, большинство разработчиков весьма ограничены в умственном плане, видимо жизнь в Индии до добра не доводит). Зато много таких ОС, которые позволяют в один клик, а то и без кликов, запустить любой код с любого сайта.
      • 0
        Про сохранность я не говорил. Я говорил про то, что модуль (грубо говоря EXE-файл) не контролирует, что же за библиотеки в него загружены. И ОС как раз выполняет все, что от нее требуется — корректно загружает либы, которые ей сказали загрузить.
        И да, если уж Windows так плоха — зачем писать для нее софт? А другим — этим софтом пользоваться? Я не могу исправить одну ошибку, значит я не буду исправлять никаких — вот что получается по вашей логике? :-)
        Почему-то антивирусы, файрволы и т.п. заботятся о свое собственной защите. А банковское ПО нет, хотя у первых сертификатов ФСБ зачастую нет и деньги через них не переводят.
        • +1
          Кстати банальный пример софт от ЦБ, который уже формирует файл и подписывает его для отправки в ЦБ, даже если используеться Токен. при загрузке он загружает в оперативную память ключ и все операции выполняет уже из памяти, хотя это противречит идеологии использовании токена.
        • 0
          Еще. «Наш» троян не внедрялся в систему ИКБ, он стоит особняком, висит себе в фоне и отправляет данные, таким образом, проверка целостности и комплектности библиотек тут не поможет.
    • +1
      >> «что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них,
      >> а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить.
      >> Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй.

      А что не так? Банк должен ещё и хранение ключей клиента организовать? И диски ему регулярно проверять на вирусы? Детский сад, ей богу. Консультировать, оказывать помощь — да, пожалуй. Но выступать нянькой — это уже слишком.

      Вообще-то, подразумевается, что обе стороны — и клиент, и банк — вменяемые взрослые люди, отвечающие за свои поступки. По крайней мере, берущие на себя такие обязательства. С какой стати банк должен отвечать за бардак, творящийся в типичной говноконторе ООО «Вектор»?

      >> Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО

      Вы предлагаете каждому банку к своей системе ДБО прилагать антивирус? Всё, что Вы написали, может произойти только по причине безалаберности клиентов. Ну или жуткой компрометации системы ДБО на стороне банка, но это исключительный случай, мне о таких неизвестно.

      Не надо банки представлять этакими подтирателями соплей клиентов.
  • +1
    Мне ни разу не удавалось приучить бухгалтера вставлять токен только во время работы в ИБ, до тех пор, пока на нынешней работе не попался жутко глючный токен, который вешал все юсб устройства. После пары дней жалоб на глюки виновник был найден, и приучен втыкаться только для подписи.
  • +1
    Ощущение, что я читаю статью от 1980 года. Где одноразовые карты паролей (уже есть в ВТБ24), где етокены — почему-то банку неинтересно дать его бесплатно (про стоимости в 1 тыс. руб, а себестоимость около 300 руб), а брать 3000 руб и выше за обслуживание юриков ежемесячно + допплатеж на каждый чих — интересно?
    Где пин-калькуляторы, которые раздаются бесплатно в банках Европы?

    • +2
      Потому что в подавляющием большинстве российских банков средний уровень используемых IT-решений ниже плинтуса и отстает от объективной реальности лет на 10. Исключения можно пересчитать по пальцам одной руки.
      • +1
        Интересно, а почему? В РФ 2-4 конторы, которы разрабатывают банк-клиент. Они такие отсталые?
        А банки, которые сетапят себе банковскую информационную систему — они специально себе выбирают наиболее отсталые решения?
        • 0
          Контор, наверное, чуть больше. КриптоПро, Фактура, IBank (в душе не знаю, оно или нет, но юзается для ДБО часто) и т.д. И видя, как легко трояны тырят от всех этих систем пароли, не могу с вами не согласиться: они скорее все-таки отсталые. Выше уже кидал ссылку на Битдефендеровское описалово троянчега, почитайте и восхититесь, как легко он получает важную информацию.
          • +1
            Хм, мне кажется, это список поставщиков криптосистем и ДБО. Из ДБО вроде как Бифит и БСС на слуху.
            Но тем не менее, логика банков понятней не становится.
        • 0
          Потому что бабло побеждает зло, руководители тупо руководствуются таким правилом, дешевле — значит лучше, все никакого скрытого смысла. Именно по этой же причине популярна АБС Диасофт, она самая дешевая на рынке (в 3-5 раз дешевле других АБС) и ДБО БСС так же более популярен по той же причине, хотя разница между Ibank если мне память не изменяет сейчас не большая.
        • +1
          Все конторы, разрабатывающие банки-клиенты в промышленных масштабах (БСС и Бифит, например), имеют решения для безопасности, идущие в ногу со временем. Все свистелки и перделки давно уже реализованы. Другой вопрос, почему некоторые банки не пользуются этими опциями. Отчасти из-за цены. Отчасти из-за невостребованности клиентами (опять же из-за цены). Поверьте, типичному российскому юрлицу на все эти ухищрения с безопасностью глубоко плевать. 1000 рублей за USB-токен для них гигантская сумма. Они даже считают в порядке вещей, когда все ключи (и публичный, и секретный) за них генерирует банк и им выдаёт :) Они начинают рвать волосы на ж..., когда факт хищения или компрометации уже прошёл. И начинают, естественно, винить банки в своих бедах.
          • 0
            +1. Клиент, потерявший 300 рублей, считал, что этот платеж очень огромный и удивлялся, как это банковские работники ему не перезвонили и не уточнили и почему провели :)
      • 0
        Я подозреваю, что вы так говорите потому, что не знакомы с зарубежными системами ДБО, статей о кражах в зарубежной печати вы тоже не читаете (моё предположение). Поэтому, думаю, не корректно считать, что «там» всё хорошо, а «тут» — тупой совок. В эпоху глобализации, когда одни и теже криптографические средства распространяются повсеместно, вряд ли будут отличаться и системы ДБО.

        К тому же, управление частью российских банков осуществляется из Европы, решения о внедрении тоже принимаются там. :)
    • 0
      Одноразовые пароли — не панацея. Даже мобильный телефон не спасет, если пользователь туп, а он туп всегда. :) Вообще, у физика лучше спереть данные карты, а не доступ к счету получать.

      Ну, за обслуживание берется не 3000, а 300 рублей, что уж вы так :)

      Пин-калькуляторы — это тоже для физиков. Когда такая маленькая организация, как какой-нибудь «Красноярский алюминиевый завод» или «Норильский никель» отправляют каждый час в банк пакет платежей штук под 40 тысяч на общую стоимость пары яхт… А вы хотите каждый платеж пин-кодом подтверждать? :)
      • 0
        Почему-же одноразовые пароли не панацея? Есть только один способ — украсть карточку или пинкалькулятор. «Наши люди» уже имеют держать сумочку :)

        Про обслуживание — вот я открываю сборник тарифов ВТБ24 и вижу:
        — РКО: 1200 руб/мес
        — ДБО: 700 руб/мес

        Сетап этих услуг — 2-4 тыс. И этим людям жалко денег на безопасность?

        Вообще-то пинкалькулятором пачку платежей подтверждают. Ну это как бы общепринятая практика.

        • 0
          700 — не 3000 :)
          у нас 300. сетап бесплатен.
          • 0
            Для юриков? И карты переменных кодов/калькулятор есть?
            • 0
              Для юриков. У ник ИКБ с ключами.

              Физики обслуживаются бесплатно, за платежные поручения только берется комиссия. У них одноразовые коды АСП.
      • 0
        Альфа-банк. РКО стоит 3390 рублей в месяц.
  • +2
    Моё мнение, как простого физического лица: страховка карты — развод банком клиента на деньги.

    Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.

    Смс-информирование… Будь у меня желание обуть человека с смс-информированием…
    Отправил бы ему три сотни смс. Увёл денежку. Отправил ему ещё три сотни смс.

    Сомневаюсь в успехе мероприятия: заметить и прочитать одну смс среди шестисот не зависимо от телефона\смартфона и уровня грамотности пользователя.
    • +1
      Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.

      Получается, что в случае воровства данной суммы, предприятие находится в лучших условиях, нежели физик — физику-то нужно год «пахать», чтобы обернуть сумму, которую «среднее предприятие» оборачивает за день.
      Физик вынужден гораздо чаще «светить» секретные реквизиты, совершая покупки в различных интернет- и оффлайн- магазинах.
      У физика нет профессионального системного администратора, для квалифицированного обслуживания компьютера.
      Банки предоставлют физикам заведомо более дырявые (удобные) способы доступа, с использованием ПО общего назначения, а так же упрощенные системы контроля операций со своей стороны.

      Выходит, риски физика заведомо выше, чем у предприятия. В этой связи предложения банков в виде платного смс-информирования и страховок стоимостью 1-2% от максимальной суммы выплаты выглядят свежо и необычно. ;)
    • 0
      >> Моё мнение, как простого физического лица: страховка карты — развод банком клиента на деньги.
      >> Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.

      Ну а если позиция банка — «ты операцию совершал». Что тогда? Почему банк должен по умолчанию считать тебя честным человеком? У тебя украли кошелёк, расплатились деньгами из него в магазине. Прибежишь в магазин требовать деньги назад? Не совершал операцию — докажи.
  • 0
    >Заставить кого-то вернуть деньги можно, если будет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная.

    Есть иск о неосновательном обогащении, по нему деньги взыскиваются независимо от вины того кто получил деньги и безусловно. Другое дело что реально получить эти деньги невозможно, потому что получивший оказывается фирмой-однодневкой у которой за душой ничего нет, а заводить уголовные дела органы очень не любят потому что мороки там много, доказуху опять же собирать, искать реальных учредителей (а не тех бомжей на которых фирма оформлена и т.п.) хотя в принципе отследить цепочку реально если расколоть всех участников.
    • 0
      А почему сложилось, что это проблема клиента?

      Не клиента же обманули, а банк.
      Кто-то представился тем, кем не является и убедил банк совершить то, что хочется.
      • 0
        что касается юр.лиц там используется ЭЦП который является аналогом собственноручной подписи, причем считается что подделка такой подписи невозможна, т.е. юридически отправил деньги не туда сам клиент, утверждение о том что это произошло помимо его воли недоказуемо, в противном случае (если вешать такие убытки на банк) любой человек может разорить любой банк просто утверждая что все его сделки произвел не он.
        С физ. лицами вопрос спорный, но логика примерно та же.
        • +1
          Если юридически отправил деньги сам клиент, то можно смело красть ключи и кидать средства на счёт фирмы открытой не на бомжа.

          Ведь тогда такое утверждение работает на злоумышленника.

          Но что-то мне говорит одного доказательства кражи ключа для цифровой подпись в условном здравомыслящем мире достаточно, чтобы не считать цифровую подпись аналогом собственноручной.

          Вот и получается, что это банальное перекладывание проблем с больной головы на здоровую. С прописыванием этого в договоре.

          Это не претензии к несправедливости мира. Просто мысли вслух.
          • 0
            Вход в систему осуществляется с ключом, который банк считает настоящим. Почему банк должен сомневаться в этом?
            • 0
              если банк не может сделать ключ что-бы потом ясно говорить настоящий он или нет то это не проблема клиента — это проблема банка
              • 0
                ключ — настоящий :) проблема клиента в том — как он оказался не у него.
                • 0
                  проблема банка в том что такое возможно. вот у меня в barclays есть девайс туда вставляется карта набирается pin вводятся суммы и номера счетов перевода — получаю ключ ввожу на страничку. даже если я пардон потеряю и карту и сам девайс — без pin ничего работать не будет.
                  • 0
                    Не путайте ИБ для физлиц с ИКБ для юрлиц. это совершенно разные системы и средства защиты в них разные. Я имел в виду ключ пользователя систем ИКБ (юр.лиц).
                    • 0
                      ну у Goldman Sachs тоже деньги воровали. Только потом тетенку посадили. Ну и что? С маленькими компаниями как с физ лизами так как у них не много проводок. А с большими можно спец компьютер выдавать.
                  • 0
                    Если пользователь написал свой pin на карте, потерял карту, и у него увели все деньги — это вина пользователя или банка?
      • 0
        У вас есть ячейка в банке, в которой лежат деньги. В один прекрасный день в банк приходит лицо, заявляющее, что он — это вы. Расписывается вашей подписью, открывает ячейку ключом, берет деньги и уходит. Кто кого обманул и кто виноват? :)
        • +1
          банк. так как не продумал систему безопасности. ячейка — это как сигналка на авто. если авто угнали то виноват разработчик сигналки и воры.
          • 0
            систему безопасности? предлагаете сканировать сетчатку и пальчики снимать? :)

            вопрос: как ваш ключ от ячейки попал к злоумышленнику и почему вы об этом не сообщили в банк? :)
            • 0
              значит к ключу надо прилагать пароль. безопасность должна быть настолько безопасной что бы случае воровства были еденичны.
              • 0
                вы считаете, что паролей нет? :)
                узнать пароль — не проблема уже последние лет 20 :)
                • 0
                  да? вот чипы с тех же карт до сих пор не научились ломать.
                  • 0
                    мы говорим о клиент-банке для юрлиц. при чем здесь чипы и карты?
                    • 0
                      мы говорим тут про ячейку. я чип это способ записать и проверить пароль и защитить его от злоумышленика.
                  • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Что за детский лепет :) Вы сдали вещи в камеру хранения на вокзале. У вас украли ключ, утащили вещи. Это проблема вокзала, что ли, что у вас его украли?
        • 0
          Я попросил лично Вас похранить пару дней мои 100 000 рублей.

          Через полчаса после моего ухода к вам зашёл никому неизвестный «Вася» и сказал: Я от puffOfSmoke, он попросил меня забрать деньги.

          Вы отдаёте ему деньги и он уходит.

          Через пару дней вы наблюдаете моё удивлённое лицо.

          Теперь внимание вопрос: Это Ваша проблема или моя?
          • –1
            Ваша — вы не умеете выбирать правильное место хранения средств :)
            • 0
              Мне достаточно умения получать свои средства.
          • +1
            >> Я попросил лично Вас похранить пару дней мои 100 000 рублей.

            Если попросили лично, и обязались сами забрать деньги — то моя, само собой. Так и бывает в практике, разве нет? А если сказали заранее, что придёт кто угодно и паролем для получения денег будет «здасьте, я от puffOfSmoke, он попросил меня забрать деньги» — то тогда Ваша.
    • 0
      Я чуть поправил статью, написал, что средства всегда перечисляются на карточные счета физических лиц. Они декларацию не заполняют, их за жопу схватить сложнее, средства потратить им тоже проще — пошел в магазин и купил плазму. :)
  • +4
    Есть вопрос. Мои средства хранятся в банке. Вор украл средства из банка (факт кражи зафиксирован). У кого он украл, у меня или у банка? Интересно, что думает по данному поводу законодательство. Банки, насколько я понимаю, поголовно уверены, что украл у меня.
    • 0
      Плюс один. Я немного выше развиваю эту мысль, но буду следить за комментариями и здесь.
    • +1
      Если украли используя ваш логин/пароль с вашего счёта — украли у вас. Если украли с корсчёта/внутреннего счёта банка или мешок у инкассатора, то у банка.
    • 0
      Если украли с вашего счета — то украли у вас, поскольку деньги на вашем счету банку не принадлежат. Но на сколько мне известно, практика сейчас такова, что банки как правило компенсируют вкладчикам такие потери. Имидж дороже.
      • 0
        Не компенсируют. С какой стати?
        • +1
          Во первых с той стати что во всем мире компенсируют. Только в России не компенсируют.У меня крали бабосы и в Англии и в сша. В сша украли 2k$ — банк вернул бабосы по звонку. в англии украли 100 фунтов — вернули тоже.
          • 0
            в райфайзене у клиента деньги лежали еще в резерве, он заблокировал карту, сообщил в банк о краже, но банк не стал предотвращать списание средств. это, наверное, немецкий менталитет? :)
            • +1
              если вы про российский райфайзен — то они там все совсем опухли. у меня не было счетов в австрии но афентик райфайзен должен все вернуть.
        • 0
          Ну тут две причины. Во первых, как мне известно, например в России, действует некая система страхования вкладов на уровне банков. Не все банки в ней участвуют, но те которые это делают, судя по всему должны вернуть деньги в любом случае.
          Вторая причина — имидж банков. То на чем стоит банковская система — это доверие клиентов. Если клиенты перестанут им доверять, система сразу рухнет. Кризис все помнят. А сейчас доверие к банкам итак практически искуственное. Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут. Это логично — проценты по депозитам в среднем 9-12%, официальная инфляция — 8.9% в прошлом году. Другое дело что народ в своей массе не осознал, что реальная инфляция вдвое выше официальной. А это меняет дело. Так что уже сейчас доверие к банкам держится на липовых цифрах, и раскачивать свой хлипкий имидж еще и кражами никому не нужно. 1000-2000$ для банка копейки, проще выплатить чем внезапно обнаружить что ты вдруг банкрот, да еще и причина нового кризиса банковской системы.

          Другое дело что не все в банках это понимают. Такие вопросы часто упираются в простых банковских служащих, которым все до фени. Или в дубовое руководство, что в банках тоже не редкость. Но в целом, на сколько мне известно — практика такова, что все таки возвращают.
          • +1
            система страхования вкладов — это защита от банкротсва банков
            это не защита от кражи денег через системы Интернет-банкинга

            Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут.
            так и есть, и это большинство не использует Интернет-банкинг
            и в интернет-банкинге обычно нельзя делать расходы с вкладов которые предназначены для накоплений (т.е. проценты идут), там используются счета до востребования, или карточные
    • +1
      Если вор в маске пришел в банк, наставил пистолет и украл — он украл у банка. Когда вор использует ваши параметры авторизации в системе, банк считает, что это вы, следовательно, воруют у вас.
      • 0
        нет банк берет бабосы на храниние и имеет этого profit. деньги на счету банка. крадут у банка
        • 0
          Читайте законы. Юридически банк деньги не берет. Счет — ваш, и деньги на счету принадлежат вам. не совсем так просто но суть такова. В отличии например от денег на счету мобильника, там они вам не принадлежат, потому что оператор — не банк.
    • 0
      если у вас украли паспорт, пришли в банк и написали за вас заявление на перевод,
      средства украли у банка? нет, украли у вас

      при ИБ — тоже самое
      • 0
        На самом деле тут есть перспектива для судебного разбирательства — ненадлежащее исполнение Банком своих обязанностей, а именно — идентификации личности клиента. В случае с «бумажным» переводом перспективы гораздо лучше, чем если речь идет об электронной краже. Но украли, конечно, все равно у клиента.
      • 0
        Хм. Пришел левый человек, написал заявление, банк непонятно с какого перепугу его послушался, а украли у меня? Интересная логика. Это я именно про ваш пример говорю.
        • 0
          Что значит «непонятно с какого перепугу»? Система идентифицирует злоумышленника как вас, а не левого дядю!
          • 0
            Обманули систему. Паспорт украли, чтобы обмануть систему, а не чувака.
            Это по справедливости, а не: Один я Дартаньян умею за безопасностью следить, а все вокруг терпилы потенциальные.
  • 0
    Завел в одном достаточно крупном банке р/с. Выдали типа «ключ». На самом деле это обычная флешка на 64 метра, на ней всякие readme, какая-то джавовская лабуда и файл с ЭЦП. И еще (внимание!) файл в котором лежит логин и пароль. Просто так. Да их конечно можно сменить в системе, но 99% этого не сделают же.

    Честно говоря такая «защита» меня «слегка» обеспокоила, в остальном банк вёл себя достаточно профессионально.
    • +1
      Это явно не e-token :)
      Я пользовался абсолютовским — меня как раз по-началу сильно напрягало, что это не флэшка — обрадовался сначала еще одной типа флэшке — а на компе ее просто не видно в качестве диска и всё.
    • 0
      Это называется формальное соблюдение стандартов безопасности ) У них же строго, должен быть ключ и все тут, закон такой. И никого не парит, что риски минимальные, а денег в разработку и внедрение вбухать надо дохрена…
  • +1
    Не подскажете где узнать про IPRIV побольше? Поиск толком информацию о дистрибутивах и самое главное, о сертификации не дал. Я так понимаю они поддерживают ГОСТ стандарты шифрования? И ГОСТ Р 34.10-2001 в том числе?
    • 0
      IPRIV — бесплатное и свободно распространяемое программное обеспечение OpenPGP www.openpgp.org/index.shtml
      Лицензионных ограничений нет.

      IPRIV, версия 1.2 – разработана фирмой-разработчиком Системы (ЗАО “ИНИСТ”) на базе библиотек «Агава-С», ПБЗИ, версии 5.0, разработанных ООО «Р-Альфа» (сертификат соответствия ФСБ РФ СФ/114-1171 от 1 августа 2008 г.
      • 0
        Можно какое-то подтверждение первому абзацу?
        Что-то не могу ни слова найти ни в одной поисковой системе…
        • 0
          всё, что есть :)
  • 0
    Спасибо Вам за подробную и интересную статью.
    У меня в связи с ней такой момент вызывает любопытство: ну хорошо, допустим нет разумно-легальных оснований привлечь к ответственности тех, кто выводит в кэш уведенные деньги, используя свою карту один раз для такой операции. Но такая операция явно оказывается для такого чела доходом. Они подают налоговые декларации в связи с этим? И если не подают, их же за это можно привлечь?!
    Прокомментируйте, пожалуйста, этот момент.
    • 0
      Так они же скажут — карту украли, денег не видели.
      • 0
        А, точно, да, я этот момент как раз не уловил в Вашем тексте. Теперь понятно, спасибо.
      • 0
        Не в Вашем, сорри :)
    • 0
      Я вам больше скажу: имеет место не только кража, но и ст. 272 и 273 УК РФ. Но ботнеты живут и процветают :-(
    • 0
      Средства переводятся на счета физических лиц, а они деклараций не подают. :)
  • 0
    Таки скажите свое мнение по поводу систем с подтверждением транзакций по смс (альфа-клик, сбербанк-онлайн, webmoney). Имхо, это самая продвинутая защита сейчас. Даже если троянец будет подменять то, что видит пользователь при совершении транзакции, в смс он увидит настоящую сумму и получателя денег. И троянец это никак проконтроллировать не сможет, т.к. телефон это отдельное устройство.
    • 0
      а номер телефона можно сменить через ИБ?
      • 0
        В WM — да, в альфа-клик и сбербанк-онлайн — нет, телефон указывается в офисе при подключении соответствующих услуг
        • 0
          Тогда, кроме как украсть телефон, ничего на ум не приходит
  • 0
    Токены с неизвлекаемыми ключами бесполезны если поставили виртуальный порт USB и устройство не пишет какую сумму заверяет.
  • 0
    Кроме токена, полезно ещё клиентам иметь электронные брелки, которые не куда не втыкаються но обеспечивают уникальность сессии. Для зарубежных банков в особенности требуйте брелоки.

    Удачи,
    ignat
  • –1
    И 600 тысяч приплетены зазря.
  • 0
    Работайте с одного рабочего места. Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. :) Дорого? 100 тысяч дороже.

    Просто рабочее место должно быть без Windows. Убунты на втором разделе должно хватить.
    • 0
      Вы в Линуксе никогда не зайдете на поддельную страницу? :)
      • 0
        Закладки, не? :)
        • 0
          у вас просто никогда не было тётеньки-бухгалтера :)
          • +1
            Примите соболезнования :D
    • +2
      Тупая п-да за Убунтой проворонит бабки не хуже, чем из-под Windows. Не надо обольщаться. Основная проблема лежит не в плоскости операционных систем, а в тупости и лени конечных пользователей.
  • +2
    В банке, где у меня текущий счет ситуация с Иб примерно такая:
    1) Вход в банк осуществляется при использовании login, PIN и одноразового PIN генерируемого RSA SecureID.
    2) При добавлении нового получателя переводов запрашивается OTP (one time password), высланный по СМС.
    3) При совершении любой операции по переводу денег (даже на существующего получателя) запрашивается PIN, генерируемый RSA SecureID.

    По поводу страховки. Страховка на 30K рублей — это какой-то смех сквозь слезы. А если у клиента на пару порядков больше денег в банке? 30К насколько я понимаю, это в районе 50% месячной ЗП у среднего IT работника в Москве. А ведь сузествуют еще и сбережения. Или вы предлагаете к ним не иметь доступа вообще и переводить деньги на «оффлайновый» счет?
    • 0
      Я очень рад за среднестатистического работника IT в Москве. Нам, быдлу замкадовскому, такие зарплаты только снятся. :)

      Обычно умные люди не хранят сбережения (и такое в Москве бывает? :)) на карточных счетах. По поводу тарифов страхования в г.Москве мне ничего не известно, не удивлюсь, если там суммы возвратов больше раза в 2-3.
      • –1
        К сбережениям нет доступа через интернет банкинг?
        Хотя да, вы рассужаете, что вор поимел доступ в счету и пытается перевести сбережения, а потом предлагаете страховать КАРТУ. Вы же понимаете, что есть счета и без карточного доступа и с интеренет банкингом. В вашем предложении застраховать карту есть некая непоследовательность.

        Мне показалось у вас какое-то неадекватное отношение к Москве и москвичам. Быдлом вы себя сами назвали. Да, и я не москвич, если что.
        • +1
          Можно сделать, чтобы доступа не было.

          У вас с чувством юмора совсем плохо? :)
          • 0
            Можно сделать, но нужно-ли. Речи не шло о сбережениях на карте. Статья была про интернет банкинг? Так вот, сбережения на счету с интернет банкингом.

            Ну у меня с чуством юмора все впорядке, но я не увидел ничего смешного в вашем посте. Мб подскажете, где смеяться?
  • +2
    Вообще то если воры крадут деньги то их должна искать собака с милицией. В сша ищут — поэтому там в том числе не сильно внедрены чипованые карты. Если милиция не работает вообще как например в Европе то банки вводят всякие чипованые карты электронные подписи и тд. В обоих случаях банк возвращает деньги если они были украдены. Если в стране не функционирует не милиция ни судебная система то банк говорит клиенту что тот сам дурак. Это же надо настолько обнаглеть что за год продавать страховку за 300 рублей и на 30 000. 30 000 / 300 = 100 Это значит что каждого сотого клиента грабят на 30 000 каждый год или каждого 20-ого за 5 лет на 30 000. sms это перекладывание с больной головы на здоровую — это работа банка придумать систему при которой денюжки будут целы.
    • 0
      Можно поинтересоваться, как вы считаете, чем «чипованные» карты защищают Европу в которой «милиция не работает вообще»?
      • 0
        чип нельзя скопировать. и при спорных операциях платит тот кто не обеспечил работу с чипом. То есть скопировать чип нельзя — банк защищен клиент тоже защищен. Можно скопировать полосу на той же карте но теперь в случае фрода несет финансовую ответственность тот кто не обеспечил работу с чипом.
        • 0
          Вообще на «чипованных» картах есть и магнитная полоса. PIN можно подсмотреть, либо записать камерой. При получении налички в банкомате все работает так-же как и с не-чипованной картой.

          Чип позволяет подтверждать владельца карты без связи с банком на месте. Удобно для мобильных терминалов.

          В случае с получением налички вором с вашей карты если он ввел ваш пин, то банк повесит все на вас. У меня есть пример в Ирландии со знакомым. Так что я совсем не вижу как он вас защитит.
          • 0
            Скопировать полосу можно на той же карте но теперь в случае фрода несет финансовую ответственность тот кто не обеспечил работу с чипом.

            А какое название банка который на вашего знакомого повесил фрод? Я на знаю на счет ирландии в англии судебное рашене ( право прецендентное ) которое гласит что если клиент claim что потерял карту и пин то ему надо деньги вернуть и дать 50 фунтов штрафа. Если он claim что вот карта а pin не разглашал то даже штафа нет.

            Мне все деньги возвращали и в англии и в сша по телефонному звонку. В россии не вернули ни кому кого я знаю — их банально динамили — мы вам ответим в течении 30 дней. По этому все деньги в алюминиевый банк.

            • 0
              Ага, так и вижу как ответственность вешают на какой-нить магазин в штатах, который принял дубликан европейской карты без чипа.

              Bank of Ireland. Карту своровали из прихожей дома. Сняли деньги в течении получаса. PIN видимо подсмотрели до этого. Сумма была около штуки евро (дневной лимит). Не вернули, так как был использован PIN. Если не верите — могу дать ссылку на обсуждение.

              Возвращали вам при снятии налички или при использовании вашего номера для покупки в Интернете?
              • 0
                не на магазин, так как магазин тут вообще не причем — а на банк обслуживающий магазин. ссылку конечно интересно почитать.
                в сша это был cash в англии телефон пополнили.

                • 0
                  www.virtualireland.ru/showthread.php?t=31700
                  Только там ничего интересного. У человека пропал кошелек из прихожей. Бабло сняли. PIN подсмотрели до этого (других вариантов нет ИМХО).

                  За что будет банк платить? Ну обслуживает магазин американский Citibank какой-нить. Технология Chip&PIN в штатах не распространена, как вы заметили. За что банк должен возвращать бабки? Где у них security leak?
              • 0
                да но карту я не терял. то есть в моем случае это был чистый fault защиты которую предоставил банк.

                это вроде как с машиной если ты оставишь ее заведенной с ключами внутри то в некоторых странах страховка не платит.

                а в некоторых платит.
      • 0
        то есть по прежнему воруют но за это платит тот кто не сделал upgrade
  • 0
    Можно поинтересоваться, как вы считаете, чем «чипованные» карты защищают Европу в которой «милиция не работает вообще»?
    • 0
      Извините, не туда ответил.
  • +2
    www.nobunkum.ru/issue003/banker-attacks/
    Атаки на банковские системы
    О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank.
  • 0
    Кстати, я заметил поразительную вещь в Сингапуре.
    Некоторые кассы (замечено в 2х ресторанах) печатают чек с указанием ПОЛНОГО номера карты и expiry date. Так что проверяйте чеки которые вам возвращают, если вы их собираетесь оставить на столе.
  • –1
    .>В русском языке для таких людей есть простые обозначения — вор и мошенник
    ога для меня банковский работник как раз вор и мошенник
    • 0
      расскажите об этом кассирам, которые получают 12 тысяч в месяц
    • +1
      и много они у вас украли?
    • +1
      Поясните, в чём воровство и мошенничество типичного банковского работника? Он к вам домой пришёл и деньги украл?
  • +1
    Просто и понятно. Спасибо за статью.
  • 0
    ХеХе, видел я у одного банка связку из BS-Defender-a и КриптоПРО с токеном…
    Только вот BS-Defender просто проверял просто факт наличия ключа, а в конфигах его можно было от этого легко отучить.
    Но это ещё что, в тех же конфигах можно было техническому ключу право подписи подрисовать!
    Всё это счастье тупо лежало на жестком диске, так-что любой злоумышленник завладевший директорией, обладая некоторой фантазией вполне бы себе мог…
  • 0
    Один ключ также можно пользовать на несколько организаций
  • +1
    Друзья, давайте еще сильнее упростим нашу схему. Из личного опыта: огромное количество организаций тупо экономит на системных администраторах. Мало того, что полно некомпетентных администраторов (хотя, какой хороший специалист согласится на работу за гроши), дак ведь у множества более-менее солидных контор сисадмина нет вообще — есть только «приходящие» и те раз в год бывают… Про защиту и обилие вирусов всех мастей в подобных конторах умолчу.
  • +2
    >> Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму.
    >> В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их
    >> отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств.
    >> Это требования закона о борьбе с отмыванием и легализацией средств.

    Если процесс непонятен — стоит для начала прочитать закон 115-ФЗ. Никакой контролёр в банке ничего не обязан. Если прошла операция свыше 600 тыс. со счёта клиента, составляется соответствующее сообщение об этой операции и отправляется куда надо. Если поступление на 600 тыс. и более — тогда запрашивается анкета выгодоприобретателя. Но это уже по факту. Требовать предоставить дополнительные документы — бред. Для чего тогда вообще клиент-банк нужен? Другое дело, что некоторые системы клиент-банк дают возможность вводить дополнительные уровни авторизации при превышении определённой суммы. SMS, токены разные и т.д.

    Все отношения юрлица и банка прописаны в договоре. Практика показывает, что при чётком соблюдении договора ЮРИДИЧЕСКИМ ЛИЦОМ шансы профукать деньги равны нулю. А на практике клиенты договоры не читают, подмахивают не глядя. И рекомендаций по защите информации, которые обычно прописываются в приложениях к договору, никто не выполняет. И не спасут в таком случае ни USB-токены, ни смарт-карты, хотя вроде экспортировать с них ключ физические невозможно.
    • 0
      За 115-ФЗ спасибо! Буду знать. :)
  • 0
    Раз уж пошли такие статьи, может кто нибуть опишет как сканят карты пластиковые на банкоматах? А то даже до нашего захолустья докатились такие умельцы.
    • 0
      да вот же :)
      а по запросу «сканирование карт на банкоматах» в яндексе очень много картинок :)
  • 0
    пин карты… антивири… етокены… это все клево…
    Но вопрос. Почему до сих пор клиентбанки не работают под линуксом?
    Ведь под не гораздо меньше вирей и троянов… т.е. на данный момент она безопаснее винды…
    И таким образом можно снизить факторы риска…
    • 0
      А Вы прочитайте, не торопясь, ветку на профильном форуме:
      bankir.ru/dom/showthread.php?t=99228
      Там всё со всех сторон обсуждено
    • 0
      Работают. iBank2 фирмы Бифит имеет клиента на Java. Мало того, для физлиц было верно подмечено выше — используются упрощённые технологии, hmtl+javascript и шифрование, встроенное в браузер.
      А то, что нет у производителей клиент-банков пиитета перед Linux — так потому, что доля клиентских машин под Linux в бизнесе стремится к нулю. Поверит бизнес в Linux — наплодят и клиент-банков под него.
  • 0
    То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана.

    Как насчет статьи 1102 ГК РФ (неосновательное обогащение)?
    • 0
      пока никому деньги не вернули.
      да и расследование дела, суд и т.д. и т.п. будет тянуться не один год. :(
  • 0
    Новый троян, получивший название OddJob, крадет деньги с банковских счетов, получая управление над сессиями онлайн-банкинга после того, как пользователь считает, что закончил сессию.

    Для защиты эксперты, обнаружившие угрозу, рекомендуют устанавливать свежие патчи и обновления, не переходить по незнакомым ссылкам и использовать комплексные средства информационной безопасности, включающие в себя элементы проактивной защиты, которые способны эффективно противостоять новейшим угрозам.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.